Remove session keys option

2026-01-03 16:51:40 +09:00 · 2023-07-22 19:22:33 +09:00 · 2023-07-22 19:22:33 +09:00 · ced866d5e0
commit ced866d5e0
parent 78ba527c78
5 changed files with 1 additions and 17 deletions
--- a/common/defaults/config.php
+++ b/common/defaults/config.php
@ -58,7 +58,6 @@ return array(
 	'session' => array(
 		'delay' => false,
 		'use_db' => false,
-		'use_keys' => false,
 		'use_ssl' => false,
 		'use_ssl_cookies' => false,
 		'samesite' => 'Lax',
--- a/modules/admin/controllers/systemconfig/Security.php
+++ b/modules/admin/controllers/systemconfig/Security.php
@ -33,7 +33,6 @@ class Security extends Base

 		// Session and cookie security settings
 		Context::set('use_samesite', Config::get('session.samesite'));
-		Context::set('use_session_keys', Config::get('session.use_keys'));
 		Context::set('use_session_ssl', Config::get('session.use_ssl'));
 		Context::set('use_cookies_ssl', Config::get('session.use_ssl_cookies'));
 		Context::set('check_csrf_token', Config::get('security.check_csrf_token'));
@ -128,7 +127,6 @@ class Security extends Base
 		Config::set('admin.allow', array_values($allowed_ip));
 		Config::set('admin.deny', array_values($denied_ip));
 		Config::set('session.samesite', $vars->use_samesite);
-		Config::set('session.use_keys', $vars->use_session_keys === 'Y');
 		Config::set('session.use_ssl', $vars->use_session_ssl === 'Y');
 		Config::set('session.use_ssl_cookies', $vars->use_cookies_ssl === 'Y');
 		Config::set('security.check_csrf_token', $vars->check_csrf_token === 'Y');
--- a/modules/admin/lang/en.php
+++ b/modules/admin/lang/en.php
@ -170,8 +170,6 @@ $lang->use_samesite_empty = 'Do not use';
 $lang->about_use_samesite = 'Set the SameSite attribute for session cookies and session keys.<br>Lax is the recommended setting for most sites. You may need to use None if you are having difficulties integrating with external services such as payment gateways.<br>However, None is only valid when used with SSL-only sessions.';
 $lang->about_x_frame_options = 'Block loading this site in an iframe from another site. This helps prevent clickjacking attacks.<br />SameOrigin is recommended for most sites. Deny will make iframes stop working even on this site.<br />Do not use this setting if you have already enabled the X-Frame-Options header in your server configuration.';
 $lang->about_x_content_type_options = 'Prevent browser sniffing of MIME types of documents and attached files.<br />Do not use this setting if you have already enabled the X-Content-Type-Options header in your server configuration.';
-$lang->use_session_keys = 'Use session security keys';
-$lang->about_use_session_keys = 'Use additional security keys to guard against session theft. This setting is highly recommended if you don\'t use SSL-only sessions.<br>This setting may cause some users to become logged out.';
 $lang->use_session_ssl = 'Use SSL-only session';
 $lang->about_use_session_ssl = 'Force the session to be SSL-only.<br>This helps improve security if your site always uses SSL.';
 $lang->use_cookies_ssl = 'Use SSL-only cookies';
--- a/modules/admin/lang/ko.php
+++ b/modules/admin/lang/ko.php
@ -171,10 +171,8 @@ $lang->use_samesite_empty = '표기하지 않음';
 $lang->about_use_samesite = '세션 쿠키, 보안키 등에 적용되는 SameSite 속성을 선택할 수 있습니다.<br>대부분의 사이트에는 Lax를 권장하며, 최신 브라우저에서 결제 연동 등에 문제가 있는 경우 None을 선택하시기 바랍니다.<br>단, None을 선택할 경우 SSL 전용 세션을 사용하여야 정상 작동합니다.';
 $lang->about_x_frame_options = '다른 사이트에서 이 사이트를 iframe으로 로딩하는 것을 차단합니다. Clickjacking 공격 방지에 도움이 됩니다.<br />대부분의 사이트에는 SameOrigin을 추천합니다. Deny로 설정하면 같은 사이트 내에서도 iframe이 작동하지 않습니다.<br />웹서버 설정에서 이미 X-Frame-Options 헤더를 출력하고 있는 경우에는 중복 사용하지 마십시오.';
 $lang->about_x_content_type_options = '브라우저가 문서나 첨부파일의 MIME type을 스니핑하여 임의로 처리하는 것을 막습니다.<br />웹서버 설정에서 이미 X-Content-Type-Options 헤더를 출력하고 있는 경우에는 중복 사용하지 마십시오.';
-$lang->use_session_keys = '세션 보안키 사용';
-$lang->about_use_session_keys = '세션 탈취를 방지하기 위한 보안키를 사용합니다. SSL 전용 세션을 사용하지 않을 경우 반드시 보안키를 사용하시기를 권장합니다.<br>사용자 환경에 따라 로그인이 풀리는 문제가 발생할 수 있습니다.';
 $lang->use_session_ssl = 'SSL 전용 세션 사용';
-$lang->about_use_session_ssl = '세션을 SSL 전용으로 지정하여 SSL이 아닌 페이지에서는 사용할 수 없도록 합니다.<br>SSL을 항상 사용하도록 설정되어 있는 경우에만 활성화됩니다.';
+$lang->about_use_session_ssl = '세션을 SSL 전용으로 지정하여 SSL이 아닌 페이지와 로그인 상태가 공유되지 않도록 합니다.<br>SSL을 항상 사용하도록 설정되어 있는 경우에만 활성화됩니다.';
 $lang->use_cookies_ssl = 'SSL 전용 쿠키 사용';
 $lang->about_use_cookies_ssl = '세션뿐 아니라 모든 쿠키를 SSL 전용으로 지정합니다.<br>SSL을 항상 사용하도록 설정되어 있는 경우에만 활성화됩니다.';
 $lang->check_csrf_token = 'CSRF 토큰 사용';
--- a/modules/admin/tpl/config_security.html
+++ b/modules/admin/tpl/config_security.html
@ -45,15 +45,6 @@
 				<p class="x_help-block">{$lang->about_admin_ip_deny}</p>
 			</div>
 		</div>
-		<div class="x_control-group">
-			<label class="x_control-label">{$lang->use_session_keys}</label>
-			<div class="x_controls">
-				<label for="use_session_keys_y" class="x_inline"><input type="radio" name="use_session_keys" id="use_session_keys_y" value="Y" checked="checked"|cond="$use_session_keys !== false" /> {$lang->cmd_yes}</label>
-				<label for="use_session_keys_n" class="x_inline"><input type="radio" name="use_session_keys" id="use_session_keys_n" value="N" checked="checked"|cond="$use_session_keys === false" /> {$lang->cmd_no}</label>
-				<br />
-				<p class="x_help-block">{$lang->about_use_session_keys}</p>
-			</div>
-		</div>
 		<div class="x_control-group">
 			<label class="x_control-label">{$lang->use_session_ssl}</label>
 			<div class="x_controls">